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Met deze brief informeren wij u over de verbetermaatregelen die worden 
getroffen bij het beschermen van persoonsgegevens bij het uitwisselen 
van gegevens via het zogenoemde Suwinet. Ten behoeve van een 
klantgerichte en effectieve uitvoering van de sociale zekerheidswetten is 
het in 2002 in de wet SUWI mogelijk gemaakt dat UWV, SVB en de 
gemeentelijke sociale diensten via het Suwinet op digitale wijze gegevens 
uitwisselen. 

In de periode 2008-2013 is het gegevensverkeer via het Suwinet met circa 
50% toegenomen. Het invoeren van nieuw beleid dat leidt tot andere 
informatiebehoeften en nieuwe informatiestromen, heeft bijgedragen aan 
deze groei. De opgave is om voortdurend een balans te vinden tussen 
enerzijds het uitvoeren van nieuw beleid en anderzijds het beschermen 
van de persoonlijke levenssfeer van burgers en het op een veilige wijze 
uitwisselen en gebruiken van gegevens. De Wetenschappelijke Raad voor 
het Regeringsbeleid heeft dit spanningsveld tussen de zogenoemde 
stuwende en verankerende beginselen treffend beschreven in het rapport 
iOverheid van maart 2011. 

De groei van het gegevensverkeer en signalen van de Inspectie SZW over 
tekortkomingen in de informatiebeveiliging bij gemeenten waren voor ons 
aanleiding om opdracht te geven voor nader onderzoek en het naar 
aanleiding daarvan nemen van verbetermaatregelen. Hieronder schetsen 
wij de actielijnen waarlangs de maatregelen worden genomen. 

Actielijn 7. De aanpak informatieveiligheid overheden 

Minister Plasterk heeft begin 2013 voor twee jaar de Taskforce Bestuur en 
Informatieveiligheid Dienstverlening ingesteld om het belang van 
informatieveiligheid bij bestuurders en managers bij de overheid te 
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vergroten (Kamerstuk 26 643, nr. 337 en 344). Als onderdeel hiervan 
hebben gemeenten tijdens de Bijzondere Algemene Leden Vergadering 
van de VNG op 29 november 2013 de Resolutie «Informatieveiligheid, 
randvoorwaarde voor de professionele gemeente» aangenomen. Met 
deze Resolutie geven gemeenten aan dat zij verder werken aan informa¬ 
tieveiligheid, onder andere door de zogenoemde Baseline Informatiebe¬ 
veiliging Nederlandse Gemeenten uit te voeren. Samen met de Minister 
van BZK en de VNG werken wij aan het inrichten van een verantwoording 
informatiebeveiliging voor gemeenten waar de verantwoording over het 
Suwinet onderdeel van is. 

Actielijn 2. De aanpak verbetering gebruik Suwinet bij gemeenten 

Met de brief van 8 november 2013 bood de Staatssecretaris het rapport 
«De burger bediend in 2013» van de Inspectie SZW aan uw Kamer aan 
(Kamerstuk 26 448, nr. 505). De inspectie constateerde ernstige tekortko¬ 
mingen bij het gebruik van via Suwinet uitgewisselde gegevens bij 
gemeenten. De Staatssecretaris kondigde onder andere aan dat de VNG 
een verbeterplan in uitvoering heeft genomen en dat de Inspectie SZW in 
het vierde kwartaal van 2014 vervolgonderzoek doet naar de beveiliging 
van Suwinet bij gemeenten (Kamerstuk 32 761, nr. 55). In april 2015 zal de 
Staatssecretaris u informeren over de uitkomsten van dit onderzoek. 

Actielijn 3. Programma «Borging veilige gegevensuitwisseling via 
Suwinet» 

In de brief van 8 november 2013 kondigde de Staatssecretaris ook een 
privacy impact assessment naar het Suwinet aan. Gezien de toename van 
het aantal gegevensuitwisselingen via het Suwinet was het wenselijk om 
na te gaan of de getroffen wettelijke, organisatorische en technische 
maatregelen voldoende zijn. Het privacy impact assessment omvat het 
wettelijk kader voor de gegevensuitwisseling via Suwinet alsmede de 
keten die loopt van het aanleveren van gegevens door bronleveranciers, 
het transporteren van gegevens naar afnemers tot en met het gebruik van 
de gegevens door afnemers. De uitkomst is dat in de afgelopen jaren een 
aantal samenhangende kwetsbaarheden is ontstaan die elkaar op een 
negatieve manier beïnvloeden en daarmee tot privacyrisico's leiden (zie 
bijlage 1 ). 

UWV, SVB en VNG hebben op ons verzoek aangegeven welke maatre¬ 
gelen zij gaan treffen. Het programmaplan met de maatregelen is 
inmiddels in uitvoering genomen (zie bijlage). Een aantal maatregelen 
richt zich op het limiteren van de toegang van medewerkers tot gegevens. 
Dit komt tot uitdrukking in het ontwikkelen en invoeren van een fijnma¬ 
ziger autorisatiestructuur bij gemeenten waarbij medewerkers alleen 
toegang krijgen tot gegevens die strikt noodzakelijk zijn voor het uitvoeren 
van de aan medewerkers toebedeelde taken. Verder wordt nader 
onderzoek gedaan naar het beperken van de zoekmogelijkheden met als 
uitgangspunt dat niet onnodig op andere zoeksleutels dan het burgerser- 
vicenummer wordt gezocht. Andere maatregelen betreffen het verbeteren 
van het loggen van het gebruik van gegevens ten behoeve van een 
snellere en meer gerichte controle achteraf en het bevorderen van het 
privacybewustzijn bij medewerkers middels een ketenbrede bewustwor¬ 
dingscampagne. Daarnaast bevat het programmaplan maatregelen naar 
aanleiding van het onderzoek van het College Bescherming Persoonsge¬ 
gevens naar de toegang van niet-Suwipartijen tot het Suwinet zoals het 
actualiseren van het beveiligingsplan en het continuïteitsplan van het 
Bureau Keteninformatisering Werk en Inkomen dat onderdeel is van UWV. 


1 Raadpleegbaar via www.tweedekamer.nl 
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In het bijgevoegde programmaplan zijn de maatregelen nader toegelicht. 
UWV, SVB en VNG gaan halfjaarlijks aan ons rapporteren over de 
voortgang van het programma. 

Actielijn 4 Toekomstverkenning gegevensuitwisseling 

Wij verwachten dat in de toekomst het aantal gegevensuitwisselingen 
verder zal toenemen en dat gegevens ook steeds vaker tussen beleids¬ 
terreinen worden uitgewisseld. Samen met UWV, SVB, VNG en het 
Inlichtingenbureau zijn we gestart met het verkennen van een toekomst¬ 
beeld voor gegevensuitwisseling. Het vertrekpunt hierbij is dat op een 
wendbare wijze en met inbegrip van het beschermen van persoonsge¬ 
gevens en informatiebeveiliging, voorzien wordt in de benodigde 
gegevensuitwisselingen. Hierbij voorzien we dat de wet- en regelgeving 
SUWI betreffende gegevensverwerking en -uitwisseling herijkt wordt aan 
de toenemende gegevensuitwisseling tussen beleidsterreinen. 
Vertrekpunt hierbij is wetswijziging in 2016, na de evaluatie van de wet 
SUWI in 2015. Indien noodzakelijk zullen wij de wet- en regelgeving al 
eerder wijzigen als dit randvoorwaardelijk is voor de maatregelen van het 
programma «Borging veilige gegevensuitwisseling via Suwinet». 

De Minister van Sociale Zaken en Werkgelegenheid, 

L.F. Asscher 

De Staatssecretaris van Sociale Zaken en Werkgelegenheid, 

J. Klijnsma 
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